新华社北京5月22日电(新华社记者白阳聽 史竞男)国家互联网信息办公室22日发布消息称,我国将于近期推出网络安全审查制度。我国为什么要出台网络安全审查制度?审查将以何种方式进行?审查将对老百姓的日常生活带来怎样的影响?新华社记者就此走访了多位专家学者。
“信息安全现已成为国家安全的重要一环,进行网络安全审查是信息技术发展的必然趋势。”中国工程院院士方滨兴告诉记者,美国、日本等发达国家早在十多年前就已建立了完备的网络安全审查制度体系,对涉及国家重大战略层面的信息技术产品进行评估。近年来,针对我国的网络安全事件不断增加,网络安全风险不断加大,建立网络安全审查制度刻不容缓。
中国信息安全评测中心总工程师王军表示,随着智能手机等信息产品的普及,民众对信息产品的安全性也越来越重视。但是,由于第三方约束机制的缺乏,许多厂商对产品的安全属性不够重视,有的甚至“店大欺客”,明知产品有安全缺陷,却拒不更改;更有部分厂商在产品中埋“后门”,窃取用户信息和数据,由此带来的用户隐私泄露等问题近年来时有发生。
专家表示,网络安全审查制度涵盖了国家战略层面和个体安全层面的综合考虑,对外能有效降低我国日益严峻的网络安全风险,对内也将成为用户合法权益不受侵害的重要保障。
据了解,欧美国家针对信息安全的全链条建立了详尽的审查体系。以美国为例,安全审查不仅局限于产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等。我国的网络审查制度将借鉴国外的成熟经验,并结合实际情况作出符合我国信息产业发展现状的规定。产品的安全性和可控性将成为审查重点。
“网络安全审查应包括事前审查、事中监测和事后惩处三部分。”王军告诉记者,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
方滨兴指出,根据其他国家的经验,网络安全审查制度应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
记者了解到,我国此前陆续出台过一些信息产品安全认证标准,但主要针对杀毒软件、防火墙等信息安全产品,且比较零散不成体系。随着云计算服务等新兴技术的快速发展,安全软件之外的信息技术产品也日益成为侵害用户信息安全的重要威胁,但此类产品目前还没有强制性的安全标准。专家指出,网络安全审查制度把审查的范围从信息安全产品扩展到信息技术产品,这一风险将有望解除。
方滨兴认为,实施网络安全审查后,影响最大的是那些钻法律漏洞的行为。以wifi破解器为例,此类技术本身侵害了信息安全,在任何国家都是被禁止的,对此类行为建立制度进行约束,是对市场秩序的整顿,符合WTO的要求。
“实施网络安全审查制度不会损害信息产业发展,相反,它能够有效促进信息产业健康正常发展。”王军认为,老百姓对信息安全的重视程度在不断提高,安全审查合格的产品,用户信任度高,市场占有率也会越来越高;反之,如果安全性不达标,就会被市场淘汰。因此,安全审查对企业发展能产生何种影响,主动权是掌握在企业手中的。
“网络安全审查并不是贸易保护,无论是国内产品还是国外产品,只要符合我国的网络安全标准,就能够进入市场自由流通。”王军说。